Udostępnij za pośrednictwem


Niestandardowe pozyskiwanie i przekształcanie danych w usłudze Microsoft Sentinel

Azure Monitor Logs jest platformą danych dla usługi Microsoft Sentinel. Wszystkie dzienniki zaimportowane do usługi Microsoft Sentinel są przechowywane w obszarze roboczym usługi Log Analytics, a zapytania dzienników , napisane w języku Kusto Query Language (KQL), są używane do wykrywania zagrożeń i monitorowania aktywności sieci.

Usługa Log Analytics zapewnia wysoki poziom kontroli nad danymi pozyskiwanymi do obszaru roboczego dzięki niestandardowym regułom pozyskiwania danych i regułom zbierania danych (DCR). Mechanizmy DCR pozwalają zarówno na zbieranie, jak i manipulację danymi przed ich zapisaniem w obszarze roboczym. DCR-y formatują i wysyłają dane zarówno do standardowych tabel usługi Log Analytics, jak i dostosowywalnych tabel dla źródeł danych, które generują unikatowe formaty dziennika.

Narzędzia usługi Azure Monitor na potrzeby niestandardowego pozyskiwania danych w usłudze Microsoft Sentinel

Usługa Microsoft Sentinel używa następujących narzędzi usługi Azure Monitor do kontrolowania pozyskiwania danych niestandardowych:

  • przekształcenia są definiowane w DCR i stosują zapytania KQL do danych przychodzących przed ich zapisaniem w obszarze roboczym. Te przekształcenia mogą odfiltrować nieistotne dane, wzbogacić istniejące dane za pomocą analizy lub danych zewnętrznych albo zamaskować poufne lub osobiste informacje.

  • Interfejs API pozyskiwania dzienników umożliwia wysyłanie dzienników w niestandardowym formacie z dowolnego źródła danych do obszaru roboczego Log Analytics oraz przechowywanie tych dzienników w standardowych tabelach lub w stworzonych przez Ciebie tabelach niestandardowych. Masz pełną kontrolę nad tworzeniem tych tabel niestandardowych, łącznie z określeniem nazw i typów kolumn. Interfejs API używa DCR do definiowania, konfigurowania i stosowania przekształceń na tych przepływach danych.

Uwaga

Obszary robocze usługi Log Analytics włączone dla usługi Microsoft Sentinel nie podlegają opłaty za filtrowanie pozyskiwania w usłudze Azure Monitor, niezależnie od ilości danych filtrów transformacji. Jednak przekształcenia w usłudze Microsoft Sentinel w przeciwnym razie mają takie same ograniczenia jak usługa Azure Monitor. Aby uzyskać więcej informacji, zobacz Ograniczenia oraz zagadnienia.

Obsługa dcR w usłudze Microsoft Sentinel

Przekształcenia czasu pozyskiwania są definiowane w regułach zbierania danych (DCR), które kontrolują przepływ danych w usłudze Azure Monitor. Zasady zbierania danych (DCR) są używane przez łączniki i procesy w usłudze Sentinel oparte na AMA, wykorzystując interfejs API do pozyskiwania dzienników . Każdy kontroler domeny zawiera konfigurację dla konkretnego scenariusza zbierania danych, a wiele łączników lub źródeł może współużytkować jeden kontroler domeny.

Przekształcenia obszaru roboczego wspierają przepływy pracy, które normalnie nie używają DCR. Przekształcenia obszaru roboczego DCR zawierają przekształcenia dla dowolnych obsługiwanych tabel i są stosowane do całego ruchu kierowanego do tej tabeli.

Aby uzyskać więcej informacji, zobacz:

Przypadki użycia i przykładowe scenariusze

Artykuł Przykładowe przekształcenia w Azure Monitor zawiera opis i przykładowe zapytania dotyczące typowych scenariuszy, używając przekształceń podczas przetwarzania danych w Azure Monitor. Scenariusze, które są szczególnie przydatne w przypadku usługi Microsoft Sentinel, obejmują:

  • Zmniejsz koszty danych. Filtrowanie zbierania danych według wierszy lub kolumn w celu zmniejszenia kosztów pozyskiwania i magazynowania.

  • Normalizacja danych. Normalizacja dzienników przy użyciu advanced security information model (ASIM) w celu zwiększenia wydajności znormalizowanych zapytań. Aby uzyskać więcej informacji, zobacz normalizacja czasu pozyskiwania.

  • Wzbogacanie danych. Przekształcenia czasu pozyskiwania umożliwiają ulepszanie analizy przez wzbogacanie danych o dodatkowe kolumny dodane do skonfigurowanej transformacji KQL. Dodatkowe kolumny mogą obejmować przeanalizowane lub obliczone dane z istniejących kolumn.

  • Usuń poufne dane. Przekształcenia podczas przetwarzania danych wejściowych mogą służyć do ukrywania lub usuwania danych osobowych, takich jak pozostawienie widocznych tylko ostatnich cyfr numeru ubezpieczenia społecznego lub numeru karty kredytowej.

Przepływ pozyskiwania danych w usłudze Microsoft Sentinel

Na poniższej ilustracji pokazano, gdzie przekształcanie danych w momencie ich pozyskiwania wprowadza do przepływu pozyskiwania danych w usłudze Microsoft Sentinel. Te dane mogą być obsługiwane w standardowych tabelach lub w określonym zestawie tabel niestandardowych.

Diagram architektury przekształcania danych usługi Microsoft Sentinel.

Ten obraz przedstawia przepływ w chmurze, który reprezentuje składnik zbierania danych usługi Azure Monitor. Więcej informacji na ten temat można dowiedzieć się wraz z innymi scenariuszami zbierania danych w temacie Reguły zbierania danych (DCR) w usłudze Azure Monitor.

Usługa Microsoft Sentinel zbiera dane w obszarze roboczym usługi Log Analytics z wielu źródeł.

  • dane zebrane z punktu końcowego interfejsu API pozyskiwania dzienników lub agenta usługi Azure Monitor (AMA) są przetwarzane przez określoną zasadę zbierania danych (DCR), która może obejmować transformację podczas pozyskiwania.
  • dane z wbudowanych łączników danych są przetwarzane w usłudze Log Analytics przy użyciu kombinacji zakodowanych na stałe przepływów pracy i przekształceń czasu pozyskiwania w obszarze roboczym DCR.

W poniższej tabeli opisano obsługę modelu DCR dla typów łączników danych usługi Microsoft Sentinel:

Typ łącznika danych Wsparcie DCR
dzienniki agenta usługi Azure Monitor (AMA), takie jak:
  • Zdarzenia zabezpieczeń Windows za pośrednictwem AMA
  • Zdarzenia przekazywane w systemie Windows
  • Dane CEF
  • Dane dziennika systemowego
  • Co najmniej jeden DCR skojarzony z agentem
    Bezpośrednie ingestowanie za pomocą interfejsu API do ingestowania dzienników DCR określony w wywołaniu API
    Wbudowany, oparty na interfejsie API łącznik danych, taki jak:
  • Łączniki danych bez kodu
  • DCR utworzony dla konektora
    Połączenia oparte na ustawieniach diagnostycznych Przekształcanie obszaru roboczego DCR z obsługą tabel wyjściowych
    Wbudowane łączniki danych oparte na interfejsie API, takie jak:
  • Starsze łączniki danych bez kodu
  • Łączniki danych oparte na usłudze Azure Functions
  • Aktualnie nieobsługiwane
    Wbudowane łączniki danych typu service-to-service, takie jak:
  • Microsoft Office 365
  • Identyfikator usługi Microsoft Entra
  • Amazon S3
  • DCR dotyczące przekształcenia obszaru roboczego dla tabel , które obsługują przekształcenia

    Aby uzyskać więcej informacji, zobacz: